Il wiki con tanti suggerimenti tecnici
Il wiki con tanti suggerimenti tecnici
In informatica, il penetration test è il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato. L'analisi comprende più fasi ed ha come obiettivo evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso l'accesso non autorizzato.
L'analisi è condotta dal punto di vista di un potenziale attaccante e consiste nello sfruttamento delle vulnerabilità rilevate al fine di ottenere più informazioni possibili per accedere indebitamente al sistema.
Un penetration test può aiutare a determinare se le difese del sistema sono sufficienti o se presenta delle vulnerabilità elencando in questo caso quali difese il test ha sconfitto.
Distribuzioni di sistemi operativi specializzati Screenshot standard di Kali Linux
Diverse distribuzioni di sistemi operativi sono orientate verso il penetration test.[16] Tali distribuzioni di solito contengono una serie di strumenti preconfigurati. Il penetration tester non deve però cercare ogni singolo strumento visto che questo potrebbe portare a complicazioni come ad esempio errori di compilazione, problemi di dipendenze o errori di configurazione. Inoltre, l'acquisizione di strumenti aggiuntivi può essere poco pratica dal punto di vista del tester.
Alcuni dei più famosi sistemi operativi orientati al pen test sono:
Kali Linux (basato sulla distribuzione Debian GNU/Linux) Pentoo (basato su Gentoo Linux) BackBox (basato su Ubuntu) WHAX (basato su Slackware)
Un certo numero di sistemi operativi includono vulnerabilità di sistema o applicative conosciute, e possono essere utilizzate come bersagli. Tali sistemi aiutano i nuovi professionisti della sicurezza a provare gli ultimi strumenti di sicurezza in un ambiente di laboratorio. Alcuni di questi sono:
OWASP Web Testing Environment (WTW) (Vedi allegato: ./OWASP_Top_10_-2013-Italiano.pdf|OWASP_Top_10-2013-_Italiano.pdf ) Skipfish Damn Vulnerable Linux (DVL) Metasploit Project
Esempio su google-gruyere.appspot.com https://google-gruyere.appspot.com/
Esempio su testphp.vulnweb.com Esempio eseguito eseguito su un sito volutamente vulnerabile skipfish -o /tmp/testphp http://testphp.vulnweb.com/
Indietro